Digitalisierung, Homeoffice und immer neue Methoden: Die Gefahr für Unternehmen, Opfer einer CYBERATTACKE zu werden, wird immer größer, die Schäden immer höher. Dabei gibt es bereits einfache Tricks, um die eigene Firma zu schützen.
Die Attacke war verhältnismäßig klein, der Ärger trotzdem groß. Mit einem einfachen Trick haben Kriminelle die Internetseite der Firma intersoft Consulting lahmgelegt. Ausgerechnet die Seite, auf der das Unternehmen seine Leistungen beschreibt, war nicht mehr zu erreichen. „Ich vermute mal, das war ein Mitbewerber“, sagt Geschäftsführer Thorsten Logemann und lächelt in seine Webcam. „Ganz einfach erklärt, hat ein Programm die Seite mit Anfragen bombardiert. Dadurch war sie schlicht und ergreifend überlastet und konnte nicht laden.“ Dass er im Videochat so entspannt von der Attacke erzählen kann, dafür gibt es eine einfache Erklärung: Logemann ist Informatiker, seine Firma intersoft Consulting hilft ihren Kunden unter anderem in genau diesen Situationen: bei Hackerangriffen. Sie rüstet IT-Systeme gegen die Gefahren aus dem Netz und hilft schnell und entschieden, wenn eine Attacke erfolgreich war. In zwei Tagen hatten seine Leute den Schaden behoben, die Seite war wieder erreichbar.
Trotzdem ist die Geschichte irgendwie beunruhigend. Denn wenn selbst ein gut geschütztes IT-Unternehmen nicht sicher ist vor den Gefahren aus dem Netz, wer dann? Die Antwort ist nicht weniger besorgniserregend: kaum jemand. Der IT-Branchenverband Bitcom hat in einer Studie im vergangenen Jahr herausgefunden, dass neun von zehn der befragten Unternehmen schon aus dem Netz attackiert wurden. Das sind fast doppelt so viele wie in der Studie aus dem Jahr 2017. Und auch der Schaden, den die Kriminellen dabei anrichten, ist immens. Rund 223 Milliarden Euro sind 2020 und 2021 pro Jahr zusammengekommen. Damit ist die Schadensumme mehr als doppelt so hoch wie bei der letzten Befragung 2019. Damals lag sie bei rund 103 Milliarden Euro. „Schockierend“, sagte Bitkom-Präsident Achim Berg, als er diese Zahlen vorstellte – und „niemand kann sich da mehr wegducken“. Das Gefühl haben offenbar auch die Unternehmen. Laut „Risk Barometer“ der Allianz Versicherung fürchten die Befragten Cyberangriffe mit 44 Prozent als mittlerweile größtes Geschäftsrisiko; noch vor Betriebsunterbrechungen oder Naturkatastrophen.
Die Gefahr für Unternehmen, Opfer eines Cyberangriffs zu werden, wird also immer größer, die Schadensummen immer höher. Dazu öffnen das Homeoffice sowie die Digitalisierung der Arbeit Hackern neue Möglichkeiten, gezielt anzugreifen. Aber was sind überhaupt die beliebtesten oder auch gefährlichsten Methoden der Internetkriminellen – und wie können sich Unternehmen wirksam schützen vor Angriffen aus dem Off?
Die Coronapandemie scheint in den Köpfen der Hacker besondere Kreativität freigesetzt zu haben. Aktuelle Inzidenzzahlen, Angebote für Masken oder der langersehnte Termin für die Impfung: Immer wieder trudeln mal mehr, mal weniger professionell gestaltete Spam-E-Mails ein. Selbst die Grafik, mit der die Johns-Hopkins-Universität über die Ausbreitung der Pandemie informierte, haben Hacker kopiert. Wer sie aufrief, bekam zwar vordergründig auch eine Infografik zu sehen. Im Hintergrund aber installierte die Seite eine Schadsoftware. Das Ziel der Angreifer: Passwörter, Kontoinfos, Daten klauen, um sie dann weiterzuverkaufen.
Um an dieses Ziel zu gelangen, gibt es mehrere Wege. Eine davon, eine besonders beliebte aber ebenso perfide Methode ist das sogenannte Phishing. Der Begriff ist ein Konstrukt aus den Worten „Password“ und „Fishing“. Das Ziel klingt also bereits im Namen mit: Passwörter abfischen. Und wenn die Attacke schon einmal gesetzt ist, dann gerne noch ein paar weitere Daten dazu. Das gelingt etwa mit jenen fingierten Mails, wie sie dem Anschein nach auch die Johns-Hopkins-Universität verschickt haben soll. Die Nutzer klicken dann auf einen Link oder Mailanhang und schon hängen sie am Haken der Hacker. Und in den meisten Fällen bekommen sie es nicht einmal mit. Fünf Milliarden solcher Mails werden jeden Tag um die Welt geschickt, das ist etwa die Hälfte des gesamten weltweiten Mailverkehrs.
Die E-Mail ist aber nicht nur beliebtes Transportmittel für Phishing-Software. Auch Viren, Trojaner oder sogenannte Ransomware werden immer häufiger per Mail verschickt. Das sind dann jene Attacken, durch die Computersysteme lahmgelegt oder Datensätze gesperrt und erst gegen Lösegeld wieder freigegeben werden. Das Lösegeld ist jedoch nur das eine Problem. Das andere: Durch den Angriff können sowohl Störungen im Betriebsablauf als auch schwere Schäden innerhalb der ITSysteme auftreten. Dazu kommt etwa der Betriebsausfall, wenn die Maschinen stillstehen. Häufig ist die Summe dieser Schäden höher als die des Lösegeldes.
Besonders heikel wird es, wenn durch den Angriff Daten verloren gehen – von Partnern, Kunden, Mitarbeitern. „Dann wird der Angriff ein Fall für die Aufsichtsbehörde“, sagt Dr. Kay Oelschlägel, Fachanwalt für IT-Recht, einer von 150 Partnern bei der Kanzlei Luther und Vorsitzender des Fachausschusses IT-Recht bei der Hamburger Rechtsanwaltskammer. Das bedeutet: Wann immer auch nur die Möglichkeit besteht, dass durch einen Hackerangriff personenbezogene Daten in die Hände Krimineller gelangt sein könnten, muss eine Firma unverzüglich prüfen, ob der Vorfall der zuständigen Datenschutzaufsichtsbehörde gemeldet werden muss. Für die Meldung hat die Firma maximal 72 Stunden Zeit. „Wenn sie das nicht macht, droht ein Bußgeld und die Geschädigten können Schadenersatz verlangen“, sagt Oelschlägel. Mit seinem Team prüft er für Klienten, ob eine Attacke meldepflichtig ist. Die Zahl dieser Fälle habe sich im letzten Jahr verdoppelt, sagt der Fachanawalt, der auch Mitglied im Business Club ist. Er rät daher allen Firmen, die mit personenbezogenen Daten arbeiten, neben der Absicherung ihrer Systeme vor allem zur guten Rechtsberatung.
Leider haben es Hacker auf eben diese personenbezogenen Daten besonders abgesehen. Zum einen, weil sich damit besonders viel Schindluder treiben lässt. Zum anderen, weil dafür im sogenannten Darknet viel Geld gezahlt wird. Deshalb richten sich Attacken auch häufig an die Mitarbeiter, die diese Daten verwalten – also etwa an Administratoren der IT-Systeme oder auch die Buchhaltung. Und tatsächlich ist das größte Sicherheitsrisiko auch der Mensch, der auf den fingierten Link in einer E-Mail klickt, den Anhang öffnet oder auf eine vermeintliche Anzeige hereinfällt. Rund zwei Drittel aller Attacken führen auf diese Art und Weise zum Erfolg, hat das Forsa-Institut in einer Umfrage herausgefunden.
Der erste Schritt zu mehr Cybersicherheit ist deshalb, die Mitarbeiter im Unternehmen für das Thema zu sensibilisieren. „Awareness“, sagen Fachleute dazu. Einer von ihnen ist Normen Klöpperpieper von der Firma Perseus. Das Berliner Startup setzt im Kampf gegen Cyber-kriminalität auf zwei Prinzipien: Prävention und schnelle Hilfe im Schadenfall. „Prävention bedeutet, die Mitarbeiter darin zu schulen, sich im Angriffsfall richtig zu verhalten“, erklärt Klöpperpieper. In Videos, Workshops und anhand kleiner Tests lernen die Nutzer dabei, wie ein fingierter Link aussieht, welchen Anhang sie besser nicht öffnen sollten und woran sie eine Spam-Mail erkennen. Klicken sie dennoch drauf und die Attacke läuft, hilft Perseus mit einem Sofortservice. Die Experten kümmern sich dann darum, den Schaden so gering wie möglich zu halten, Daten zu retten und die Systeme möglichst schnell wieder herzustellen.
Seine Services bietet Perseus seinen Kunden übrigens nicht nur direkt an. Sie sind auch ein Baustein etwa jeder zweiten Cyberversicherung am Markt. Diese Policen sind eine weitere Möglichkeit, sich gegen Hackerattacken zu wappnen. Denn neben der Prävention und der Schadenhilfe durch die Experten, decken diese Produkte in der Regel auch den Schaden ab, der durch den Angriff entsteht. Hierbei unterscheiden die Experten zwischen zwei Kategorien: Haftpflicht- und Eigenschäden. Mit Eigenschäden sind die Schäden gemeint, die im eigenen Unternehmen entstehen – etwa durch Lösegeldforderungen oder Betriebsunterbrechungen. Haftpflichtschäden dagegen sind Schäden, die bei Geschäftspartnern oder Kunden entstehen, weil die Schadsoftware beispielsweise per E-Mail weitergeleitet wurde. Durch die Absicherung sinkt das Risiko, durch einen Cyberangriff in finanzielle Schieflage zu geraten.
Ein weiterer Schritt betrifft die technische Infrastruktur im Unternehmen. Und gerade hier nehmen viele Unternehmen die Gefahr noch immer auf die leichte Schulter. So sollten IT-Systeme immer mit aktueller Software geschützt, Verbindungen mit sogenannten Keys, also Verschlüsselungen, gesichert werden. Corona und der damit verbundene, meist plötzliche Umzug ins Homeoffice haben diese Voraussetzungen nicht gerade verbessert. In vielen Firmen haben die Angestellten ihre Computer einfach mit nach Hause genommen. Dort sitzen sie aber nicht hinter der betriebseigenen Firewall, sondern hinter ihrer Fritz!Box. Und auch die Hardware ist selten ausreichend gesichert, verfügt häufig nicht einmal über ein Passwort, geschweige denn Multi-Faktor- Authentifizierung. „Das Problem ist, dass die Menschen ihrer Technik dennoch vertrauen“, sagt Logemann, der IT-Unternehmer. „Wir sprechen dann von einer trügerischen Technikgläubigkeit an die Firewall oder das Anti- Virus-Programm.“
Der letzte Schritt betrifft schließlich wieder den Faktor Mensch – und das korrekte Verhalten im Schadenfall. Viele Mitarbeiter würden versuchen zu vertuschen, Opfer einer Attacke zu sein, erklärt Logemann. „Dabei ist es längst keine Schande mehr, etwa auf eine Phishing-Mail reinzufallen“, meint er. Schließlich seien diese mittlerweile hochprofessionell gestaltet und kaum noch von tatsächlichen Mails zu unterscheiden. Zum Problem wird der Fall allerdings dann, wenn die Mitarbeiter den Angriff verheimlichen. „Denn dann hat die Schadsoftware alle Zeit der Welt, sich in den Systemen auszubreiten“, sagt Logemann. Allerdings hat der Experte auch für diesen Fall einen Tipp parat: die Systeme voneinander zu trennen, etwa nach Abteilungen. Ein System für die Buchhaltung, eins für den Einkauf, eins für den Vertrieb. „Dann sind bei einem Angriff nicht gleich alle Abteilungen getroffen.“
Bei all der Prävention durch Awareness der Mitarbeiter, gute Rechtsberatung, eine passende Versicherung, technische Sicherheitsmaßnahmen oder den engen Draht zum IT-Dienstleister bleibt allerdings auch eine Erkenntnis: „Das Böse legt immer nach“, sagt Logemann. Einen absoluten Schutz gegen Angriffe aus dem Off gibt es nie. Nicht einmal für IT-Unternehmen.
FÜNF TIPPS FÜR MEHR IT-SICHERHEIT
- SICHERE PASSWÖRTER VERWENDEN
Ein Drittel aller geleakter Passwörter lautet „123456“. Jeder weiß es, aber längst nicht jeder verwendet sichere Passwörter. Am einfachsten: Passwortmanager benutzen. Der vergibt automatisch sichere Zugangsdaten. Übrigens: Wer diesen Manager mit einem guten Passwort sichert, muss sich auch nur ein einziges merken.- VERDÄCHTIGE E-MAILS ERKENNEN
Phishing-Mails sind mittlerweile extrem professionell gestaltet. Dennoch gibt es Merkmale, anhand derer sie zu erkennen sind. Zum Beispiel: Absenderadresse aus dem Ausland, kryptische Links innerhalb der Mail oder ein Dateianhang mit unbekannter Dateibezeichnung.- CLEAN DESK – AUCH ANALOG
Beim Verlassen des Arbeitsplatzes sollte der Computer mit einem Passwort gesperrt werden. Auch sollten auf dem Schreibtisch keine wichtigen Daten offen einsehbar sein – diese finden am besten Platz in einem abgeschlossenen Schrank. Besonders sensible Dokumente sollten zudem nicht einfach im Papierkorb entsorgt werden – hier ist Schreddern angesagt.- SORGSAM MIT SOZIALEN MEDIEN
Hacker verwenden private Infos aus Sozialen Medien – auch für Angriffe im beruflichen Kontext. Deshalb unbedingt darauf achten, welche Infos man dort preisgibt. Auch sollte überprüft werden, welche Freundschaftsanfragen angenommen werden. Nachrichten, die auf Login-Seiten verweisen, sind ebenfalls häufig ein Hinweis auf einen Phishing-Versuch.- ANGRIFF? SICHER IST SICHER
War das jetzt ein Angriff? Mögliche Anzeichen können ein verlangsamter Computer, aber auch eine unbekannte Fehlermeldung nach dem Klicken auf einen Link sein. Im Zweifelsfall lieber einmal zu viel reagieren. Konkret bedeutet das: Computer vom Netz zu trennen und die zuständige IT-Abteilung kontaktieren. Zeit spielt bei solchen Attacken eine wichtige Rolle.